摘 要
数字化、网络化、智能化加速发展,使得信息技术(Information Technology,IT)与操作技术(Operation Technology,OT)融合成为工业数字化转型和制造业高质量发展的关键。与此同时,网络风险也不断向工业领域渗透蔓延。从多个维度分析当前 IT 和 OT 融合的现状,科学论证其带来的网络安全风险,尤其是对工业控制系统关键组件的影响。针对现状和问题,从技术维度提出一种 IT 和 OT 安全融合的思路,并给出相应建议。
内容目录:
1 IT 和 OT 融合发展现状
1.1 IT 和 OT 概述
1.2 IT 和 OT 融合现状
2 IT 和 OT 融合网络安全风险
3 IT 和 OT 安全融合思路
3.1 安全基础技术融合
3.2 数据融合
3.3 态势融合
4 结 语
在工业数字化转型浪潮下,“云、大、物、移、智”等新技术在工业领域不断应用,使 IT和 OT 深度融合,产生了以工业互联网为代表的数字化应用,促进了工业生产管理、运营决策与制造执行等各方面的“颠覆式”变革 。同时,从互联网传进来的各种网络风险逐渐渗透到 OT系统,近年来,IT 和 OT 结合导致的工业生产安全风险逐渐加剧,如 2018 年台积电遭病毒入侵导致重要产线停摆 ,2019 年委内瑞拉电力控制系统连续多次遭受网络攻击,2020 年钢铁制造商 EVRAZ 遭到勒索软件攻击导致多家工厂停产 ,2021 年美国最大输油管线遭勒索软件攻击,严重影响国内多地燃油供应 。因此,必须采取有效的、针对性的 IT 和 OT 安全融合措施,以保障工业生产安全运行。
1 IT 和 OT 融合发展现状
1.1 IT 和 OT 概述
Gartner 关于 OT 的定义是“直接监控和 / 或控制工业设备、资产、流程和事件来检测物理过程或使物理过程产生变化的硬件和软件。”。按照概念,OT 强调“直接”作用,其实就是可编 程 逻 辑 控 制 器(Programmable Logic Controller,PLC)、分布式控制系统(Distributed Control System,DCS)、监控和数据采集系统(Supervisory Control andData Acquisition,SCADA)等工业控制系统及其应用软件的总称,包含数据采集和自动控制技术。IT 主要用于企业管理的硬件、软件、网络、通信技术以及存储、处理和向企业各个部门传输信息的系统。制造执行系统(Manufacturing Execution System,MES)/ 制 造 运 营 管 理 系 统(Manufacturing Operations Management,MOM)处于 IT 和 OT 之间。IT 和 OT 的范围如图 1 所示。
图1 IT和OT的范围
简而言之,IT 和 OT 都是为工业企业服务。目前,OT 部分主要用于控制和分析企业生产过程,促进进一步改善生产;IT 部分重点处理企业各类数据和信息,并维护企业所制造产品的质量。历史上这二者是相互独立的,随着技术的发展,IT 和 OT 相互融合必将显著改善企业运营情况,能够进一步增强工业企业管理者监控运行和过程的能力,促进工业企业提质增效,主要体现在以下几个方面:(1)降低工业资源和人力成本。引入 IT 侧的云化和虚拟化技术,在不影响 OT 侧各控制系统正常运行的情况下,将各生产区的服务器上云,减少了企业在设备成本方面的开支,并且基于云平台的统一操作入口也易于工作人员实施设备更新,简化了工业操作。(2)提高工业设备安全性与预测性维护。OT 侧借助物联网传感器和流量探针等 IT 基础设施,实时监测工业设备的状态和生产过程,并利用人工智能和大数据技术对采集的数据进行建模分析,有效识别设备异常状态并预测潜在的安全风险边界。(3)提高经营决策效率。通过业务指挥调度平台和综合态势感知平台联动,全面分析管理流程、工业业务流程和生产过程数据,进一步优化企业信息共享方式,快速响应客户订单需求,高效完成产品的开发和集成 。
1.2 IT 和 OT 融合现状
整体来说,目前多数工业企业主要从以下 3个维度开展 IT 和 OT 融合。(1) 架 构 融 合 。企 业 的 IT 和 OT 部 分在物理层面多是分区域的,架构也相对独立,当前业界主要通过建设类似工业互联网平台的云架构来实现 IT 和 OT 的融合,基于平台实现SCADA 系统等在云端部署应用,实现 IT 和 OT各类软硬件资源及容器等开发工具的接入、控制和应用,实现各类多源异构设备的数据采集、传输和交互。(2)数据融合。通过智能传感器、数据采集设备等对产品在设计、研发、生产过程及在相关业务环节中产生的全域数据进行实时采集,同时整合销售运营数据、供应链管理数据、财务会计数据等工业大数据资源,并利用机器学习、深度学习等技术进行模型训练与综合分析,打通从 OT 到 IT 的全流程,实现企业生产流程优化及内部精细化运营管理。(3)虚实融合 。当前数字孪生技术广泛应用在智慧水厂、汽车生产、矿山智能巡检及自动化立体仓库等工业场景中,通过将物理场景中产生的大量数据在云端进行存储、管理和建模分析,实现全生产链要素的高度互联,有效解决各领域面临的信息孤岛统筹难、集中监管难度大、信息反馈不及时、运营维护成本高等痛点问题。
2 IT 和 OT 融合网络安全风险
IT 和 OT 融合已成为必然趋势,使得工业网络结构、形态、协议及通信方式均在发生改变,IT 降低了攻击成本,部分 OT 系统自身也变成了联网设备,诸多因素导致 IT 和 OT 融合引发了更多的网络安全风险,主要体现在平台 / 系统的应用、网络、设备、数据等方面。
(1)应用层面。
应用主要以设计、生产、管理、服务等工业业务运行 App 的方式服务于用户,有些还集成了设备状态分析、能耗分析优化等创新应用。工业互联网使得上述应用变得共享和开放,企业内诸多业务逻辑均暴露于网络中,攻击者极易通过扫描开放应用端口并利用开放服务在身份鉴别、访问控制、安全接口和安全审计等方面的漏洞和缺陷进入网络服务器等核心基础设施,同时以办公网为跳板对控制网进行渗透和攻击,直接威胁安全生产。
(2)网络层面。
因 IT 和 OT 各自用到的网络通信协议或网络架构的安全性存在差异性,IT 和 OT 网络互联后,安全风险将互相渗透,加大了网络风险暴露面。例如在工业现场的安全风险,一是大量物联网终端使用全球移动通信系 统(Global System for Mobile Communication,GSM)网卡,而 GSM 存在单向认证缺陷,面临移动用户的数据信息被伪基站截获的风险;二是很多现场设备采用 Modbus、Profinet 等传统工业协议进行有线传输,这些协议自身缺乏身份认证、授权及加密等安全机制,黑客极易利用这些漏洞对设备下达恶意指令。在网络边界,诸多边缘设备采用了具有非授权组网特性的 LoRa协议,其面临报文伪造、恶意拥塞、身份伪造等安全风险。如今,“5G 工业互联网”得到深入应用,相比于 3G 和 4G,5G 虽然在网络架构上进行了全新设计,在网络安全方面进行了增强,但 5G 采用的公钥加密接入认证算法仍存在隐私泄露的风险。
(3)设备层面。
融合之前设备存在的安全风险在融合之后依然存在,主要包括:一是利用U 盘等移动介质进行攻击,只要移动介质连接到工业控制设备,恶意程序就会自动运行,病毒在全网进行传播,影响 IT 侧的正常业务办公和管理决策等,窃取企业核心数据,并针对 OT 侧的各控制系统实施恶意指令下发,影响安全生产;二是设备自身的漏洞缺陷,包括操作系统、设备上的应用软件及其插件、设备硬件接口等,容易被攻击者利用;三是安全管理层面,硬件设备接口未做安全防护、软件补丁更新不及时、采用弱口令、“零”或者弱安全认证机制。
(4)数据层面。
一是融合后扩大了针对海量多源异构数据的攻击面,现有基于用户身份或角色的访问控制策略难以满足大规模数据的细粒度访问控制要求;二是产品全生命周期产生的各类数据包含大量敏感信息,在设备与云端进行通信时,若 OT 侧的探针采集的数据未经加密,攻击者可通过监听的方式获取设备敏感信息,此外,数据基于平台进行流通和共享时,存在数据滥用、隐私泄露等安全威胁。具体以典型工业控制系统 SCADA、人机界面(Human Machine Interface,HMI) 和 PLC 为例来分析 IT 和 OT 融合后面临的安全挑战。
(1)SCADA 系统安全。
SCADA 系统可看成 IT 和 OT 的分界。一方面,未授权非法访问、工业控制标准协议和通用技术的开放性、工业控制软硬件产品自身缺陷、从业人员等综合因素加剧了网络安全风险;另一方面,SCADA 系统上云后,伴生由云安全延伸的安全风险。
(2)HMI 和 PLC 安全。
HMI 是上位机,从属于控制系统,界面实时显示现场系统状态。HMI 对现场系统进行控制和监视,实际上是HMI 编程人员将每个指示器和按钮编程到 PLC的指定寄存器地址中,而这个控制过程通常带有密码设置,极易被黑客破译,使得操作员失去对人机操作界面的视图控制权。利用 HMI 攻击PLC 的过程如图 2 所示,典型攻击案例是 2015年乌克兰电网事件 。
图2 工业网络攻击过程
一旦网络攻击渗透到 PLC,会直接影响到现场设备。同时,PLC 需要与控制中心通信,其自身安全是整个工业信息安全的最后防线,但当前 PLC 多是基于裁剪的嵌入式系统,加之基于扫描的工作方式和面向命令的工控协议,存在较大的安全风险隐患,以协议中的自定义命令字为例来说明,Modbus 协议的从机诊断命令会造成从机 PLC 切换到侦听模式,通用工业协议(Common Industrial Protocol,CIP)部分命令字会造成从机 PLC 直接重启,S7 协议的 StopCPU 功能会导致 PLC 程序运行停止 。
3 IT 和 OT 安全融合思路
针对 IT 和 OT 融合现状及面临的诸多网络安全风险,建议企业从管理、技术和运营等方面进行综合加强,其中技术方面重点从安全基础技术、数据和态势 3 个方面开展安全融合,IT和 OT 安全融合技术架构如图 3 所示。
图3 IT和PT融合安全技术加购
3.1 安全基础技术融合
融合安全技术成为 IT 和 OT 融合的必然选择。从安全自主可控角度出发,通过采用轻量级的国产密码技术及安全可信技术等,实现安全加密防护技术与 PLC/ 远程终端设备(Remote Terminal Unit,RTU)等工控核心部件深度融合,形成一体化的安全 PLC/ 安全 RTU,在满足工业控制系统实时性和环境适应性的前提下,实现自身与上位机通信的加密保护,网络通信的协议识别和内容检测,以及对自身存储固件和数据完整性的保护等,本质上实现了内生安全,既能防护 OT 内部威胁,也能防护 IT 威胁。
3.2 数据融合
数据融合工作主要从数据采集层面和数据处理层面开展。
(1)数据采集层流量探针功能融合。IT 探针主要采集通用网络设备、安全设备以及终端等的数据;OT 探针主要采集现场工业控制设备、自动化设备、控制监控系统以及终端等的数据。以上数据构成了涵盖网络原始流量数据、资产数据、终端行为数据、审计数据和元数据等各种信息的工业信息安全大数据源。此时有两种方法实现融合:一是研究分析 IT 和 OT 数据在资产、事件、漏洞以及告警等方面的共性与特性,形成独立于网络协议 / 工控场景的工控网络数据统一表征方法,并开发一款具备此方法的“前置探针”,即实现融合功能的前置,同时采集 IT和 OT 的数据;二是 IT 和 OT 在采集时仍然使用各自常用的探针,但是采集之后对数据进行功能层面的融合分析,抽象共性功能和特性功能。
(2)数据分析处理模型融合。IT 和 OT 都需要将各自的数据进行统一清洗、入库。对于数据分析的技术和方法,也都采用关联分析、机器学习等技术,并根据各自不同的特征向量和使用场景进行训练,构建专用规则模型,再结合各自威胁情报库,进行异常行为分析和风险研判。可见对于数据分析层,IT 和 OT 采用的技术类同,只是数据模型、规则和协议不同,可建立通用分析模型。
(3)威胁情报库融合。IT 和 OT 网络威胁情报分别揭示了 IT 和 OT 网络资产可能存在或出现的风险、威胁,并给出相关联的环境、机制、指标、内涵及可付诸行动的建议,可为企业响应相关威胁或风险提供决策帮助。但目前,IT和 OT 各自网络威胁情报库还未很好地共享,难以实现安全威胁的协同感知和统一处置,可对IT 和 OT 各自情报库的情报类别、条目以及数据结构等内容抽象分离,设计统一的数据结构,进行两套情报库的格式转换、统一存储和发布,以实现对安全事件和威胁事件的深度识别 。
3.3 态势融合
IT 系统和 OT 系统在呈现层均有对企业系统资产、漏洞、威胁、日志、告警和态势等情况的展示,功能类同,主要以可视化界面为主,可融合为统一的展示效果,对高安全风险进行协同响应和处置。同时,可向上预留应用接口,满足国家部委网络安全监管需求,实现统一数据上报及统一威胁情报的接收。
4 结 语
IT 和 OT 融合作为推动制造业转型升级的重要抓手,目前仍处于艰难的探索阶段,当下还无非常成熟的模式。针对 IT 和 OT 的安全融合,建议考虑具体行业的实际需求,加强 IT 和OT 技术融合的标准化建设。另外,加强安全保障体系建设。IT 和 OT 融合必须具备 IT 安全、OT 安全以及 IT 和 OT 融合安全技术,如安全PLC、工业虚拟专用网、工业网络地址转换、工业入侵检测、工控网络接入控制、无须依赖外部特征库的 AI 智能分析与检测等才能满足融合安全建设目标。建议高效实施系统防护,加大对重要资产的保护力度,从融合系统中分离网络通信功能及加强 AI 技术在融合安全方面的赋能作用。
引用格式:万乔乔 , 钟一冉 , 周恒 , 等 . 一种 IT 和 OT 安全融合的思路 [J]. 信息安全与通信保密 ,2023(1):79-86.
作者简介 >>>
万乔乔,女,硕士,工程师,主要研究方向为网络安全、工业信息安全;
钟一冉,男,硕士,工程师,主要研究方向为网络安全;
周 恒, 男, 硕 士, 工 程 师,主要研究方向为工业信息安全、密码安全;
邹盛唐,男,硕士,研究员,主要研究方向为工业信息安全。
选自《信息安全与通信保密》2023年第1期(为便于排版,已省去原文参考文献)
